CEO 사기, 또는 업무 이메일 해킹(BEC)은 공격자가 고위 경영진이나 회사 리더를 사칭하여 직원들을 속여 돈이나 민감한 정보를 사기 계좌로 송금하게 만드는 사이버 범죄의 일종입니다. 이러한 형태의 사회 공학은 조직 내의 신뢰와 권위를 악용하여 금융 사기를 저지릅니다.
CEO 사기는 일반적으로 다음과 같은 단계로 진행됩니다:
이메일 스푸핑: 공격자는 CEO나 다른 경영진으로부터 온 것처럼 보이도록 이메일을 위조하며, 유사한 발신자 이름이나 이메일 주소를 사용합니다. 이메일 헤더를 조작하여 메시지의 사기성을 감지하기 어렵게 만들 수도 있습니다.
사칭: 공격자는 사기의 신뢰성을 높이기 위해 CEO의 의사소통 스타일을 모방하거나 내부 정보를 활용하여 요청이 진짜인 것처럼 보이게 할 수 있습니다. 이는 특정 용어 사용, 개인 정보, 또는 심지어 CEO의 글쓰기 스타일을 모방하는 것을 포함할 수 있습니다.
긴급 요청: 범죄자들은 종종 긴박감을 조성하며 직원들에게 즉시 결제를 하거나 기밀 데이터를 공개하라고 지시합니다. 시간에 민감한 비즈니스 기회나 중요한 문제 해결의 긴급성을 주장할 수도 있습니다.
조작 전술: 공격자는 고위 경영진과 관련된 신뢰와 권위를 이용하여 직원들을 사기성 요청에 응하도록 조작합니다. 두려움, 협박, 충성심에 호소하는 심리적 전술을 사용하여 직원들이 정상적인 보안 프로토콜을 무시하도록 설득할 수 있습니다.
전신 송금: 직원들이 속게 되면, 그들은 CEO의 지시라고 생각하여 공격자의 계좌로 자금을 무의식적으로 송금합니다. 자금은 일반적으로 해외 계좌나 머니 뮬로 이체되어 추적이 어렵습니다.
조직은 CEO 사기로부터 자신을 보호하기 위해 여러 조치를 취할 수 있습니다:
검증 프로토콜: 고액의 금전 거래나 민감한 정보 요청에 대해 철저한 검증 절차를 구현합니다. 추가 승인을 요구하거나, 잘 알려진 연락처 정보와 요청을 대조하거나, 대규모 이체의 경우 직접 또는 전화로 확인하는 등의 방법을 포함할 수 있습니다.
직원 교육: CEO 사기의 위험성에 대해 직원들을 교육하고, 고위 경영진의 비정상적인 요청을 반드시 재확인하도록 강조합니다. 다른 소통 채널을 통해 요청을 확인하거나, 만약의 경우 관리자와 상의하도록 직원들을 독려합니다.
다중요소 인증(MFA): 금융 거래 승인 시 MFA 사용을 의무화하여 공격자가 계정을 해킹하기 어렵게 만듭니다. MFA는 비밀번호 외에 모바일 장치로 전송된 고유 코드와 같은 추가 인증 제공을 요구함으로써 보안 레이어를 추가합니다.
이메일 인증: Domain-based Message Authentication, Reporting & Conformance (DMARC)와 같은 이메일 보안 조치를 통해 이메일 스푸핑을 감지하고 방지합니다. DMARC는 발신자의 도메인을 이메일 헤더와 정렬하여 수신 이메일의 진위를 확인하는 데 도움을 줍니다. 이는 사기 이메일을 직원의 받은편지함에 도달하기 전에 식별하고 차단하는 데 도움을 줄 수 있습니다.
사이버 보안 의식: 조직 내 사이버 보안 의식을 고취합니다. CEO 사기 및 기타 보안 위협에 대한 최신 동향을 직원에게 정기적으로 업데이트합니다. 의심스러운 활동 보고를 권장하고, 문제를 제기하거나 잠재적 사기를 식별하는 직원에게 보상합니다.
이러한 예방 조치를 구현함으로써 조직은 CEO 사기의 희생자가 될 위험을 줄이고 금융 자산과 민감한 정보를 보호할 수 있습니다.
관련 용어
피싱: CEO 사기와 관련된 다양한 사이버 범죄 방법을 포함하는 포괄적인 용어입니다. 피싱은 일반적으로 속임수를 통해 개인 정보나 악의적 행동을 하게 하는 이메일, 웹사이트 또는 다른 형태의 의사소통을 통해 개인을 속이는 행위를 의미합니다.
사회 공학: 개인을 속여 기밀 정보를 공개하거나 특정 행동을 하게 하는 조작 기법입니다. 사회 공학 기법은 권한 없이 시스템이나 데이터를 접근하기 위해 신뢰, 권위, 두려움과 같은 심리적 취약성을 이용하는 경우가 많습니다. CEO 사기는 고위 경영진과 직원을 목표로 하는 특정 형태의 사회 공학입니다.